Pilih cara CloudFront melayani permintaan HTTPS - Amazon CloudFront
Gunakan SNI untuk melayani permintaan HTTPS (berfungsi untuk sebagian besar klien)Gunakan alamat IP khusus untuk melayani permintaan HTTPS (berfungsi untuk semua klien)Meminta izin untuk menggunakan tiga atau lebih sertifikat IP SSL/TLS khusus

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pilih cara CloudFront melayani permintaan HTTPS

Jika Anda ingin pemirsa menggunakan HTTPS dan menggunakan nama domain alternatif untuk file Anda, pilih salah satu opsi berikut untuk cara CloudFront melayani permintaan HTTPS:

Bagian ini menjelaskan cara kerja setiap opsi.

Gunakan SNI untuk melayani permintaan HTTPS (berfungsi untuk sebagian besar klien)

Server Name Indication (SNI) adalah ekstensi ke protokol TLS yang didukung oleh browser dan klien yang dirilis setelah 2010. Jika Anda mengonfigurasi CloudFront untuk melayani permintaan HTTPS menggunakan SNI, CloudFront kaitkan nama domain alternatif Anda dengan alamat IP untuk setiap lokasi tepi. Saat penampil mengirimkan permintaan HTTPS untuk konten Anda, DNS mengirimkan permintaan ke alamat IP untuk lokasi tepi yang benar. Alamat IP untuk nama domain Anda ditentukan selama negosiasi jabat tangan SSL/TLS; alamat IP tidak dikhususkan untuk distribusi Anda.

Negosiasi SSL/TLS terjadi di awal proses pembuatan koneksi HTTPS. Jika tidak CloudFront dapat segera menentukan domain mana permintaan itu, itu akan menghentikan koneksi. Saat penampil yang mendukung SNI mengirimkan permintaan HTTPS untuk konten Anda, inilah yang terjadi:

  1. Penampil secara otomatis mendapatkan nama domain dari URL permintaan dan menambahkannya ke ekstensi SNI dari pesan halo klien TLS.

  2. Saat CloudFront menerima halo klien TLS, ia menggunakan nama domain di ekstensi SNI untuk menemukan CloudFront distribusi yang cocok dan mengirimkan kembali sertifikat TLS terkait.

  3. Penampil dan CloudFront melakukan negosiasi SSL/TLS.

  4. CloudFront mengembalikan konten yang diminta ke pemirsa.

Untuk daftar terkini dari browser yang mendukung SNI, lihat entri Wikipedia Indikasi Nama Server.

Jika Anda ingin menggunakan SNI tetapi beberapa browser pengguna tidak mendukung SNI, Anda memiliki beberapa opsi:

  • Konfigurasikan CloudFront untuk melayani permintaan HTTPS dengan menggunakan alamat IP khusus, bukan SNI. Untuk informasi selengkapnya, lihat Gunakan alamat IP khusus untuk melayani permintaan HTTPS (berfungsi untuk semua klien).

  • Gunakan sertifikat CloudFront SSL/TLS alih-alih sertifikat khusus. Ini mengharuskan Anda menggunakan nama CloudFront domain untuk distribusi Anda di URL untuk file Anda, misalnya,https://d111111abcdef8.cloudfront.net/logo.png.

    Jika Anda menggunakan CloudFront sertifikat default, pemirsa harus mendukung protokol SSL TLSv1 atau yang lebih baru. CloudFront tidak mendukung SSLv3 dengan sertifikat default. CloudFront

    Anda juga harus mengubah sertifikat SSL/TLS yang CloudFront digunakan dari sertifikat kustom ke sertifikat default: CloudFront

    • Jika Anda belum menggunakan distribusi untuk mendistribusikan konten Anda, Anda dapat mengubah konfigurasinya. Untuk informasi selengkapnya, lihat Perbarui distribusi.

    • Jika Anda telah menggunakan distribusi Anda untuk mendistribusikan konten Anda, Anda harus membuat CloudFront distribusi baru dan mengubah URL untuk file Anda untuk mengurangi atau menghilangkan jumlah waktu konten Anda tidak tersedia. Untuk informasi selengkapnya, lihat Kembalikan dari sertifikat SSL/TLS kustom ke sertifikat default CloudFront .

  • Jika Anda dapat mengontrol browser yang digunakan pengguna, minta mereka meng-upgrade browser mereka ke browser yang mendukung SNI.

  • Gunakan HTTP alih-alih HTTPS.

Gunakan alamat IP khusus untuk melayani permintaan HTTPS (berfungsi untuk semua klien)

Indikasi Nama Server (Ser Server Name Indication atau SNI) adalah salah satu cara untuk mengaitkan permintaan dengan domain. Cara lainnya adalah menggunakan alamat IP khusus. Jika Anda memiliki pengguna yang tidak dapat meng-upgrade ke browser atau klien yang dirilis setelah 2010, Anda dapat menggunakan alamat IP khusus untuk melayani permintaan HTTPS. Untuk daftar terkini dari browser yang mendukung SNI, lihat entri Wikipedia Indikasi Nama Server.

penting

Jika Anda mengonfigurasi CloudFront untuk melayani permintaan HTTPS menggunakan alamat IP khusus, Anda dikenakan biaya bulanan tambahan. Biaya dimulai saat Anda mengaitkan sertifikat SSL/TLS Anda dengan distribusi dan Anda mengaktifkan distribusi. Untuk informasi selengkapnya tentang CloudFront harga, lihat CloudFront Harga Amazon. Selain itu, lihat Using the Same Certificate for Multiple CloudFront Distributions.

Saat Anda mengonfigurasi CloudFront untuk melayani permintaan HTTPS dengan menggunakan alamat IP khusus, CloudFront kaitkan sertifikat Anda dengan alamat IP khusus di setiap lokasi CloudFront tepi. Saat penampil mengirimkan permintaan HTTPS untuk konten Anda, inilah yang terjadi:

  1. DNS mengarahkan permintaan ke alamat IP untuk distribusi Anda di lokasi edge yang berlaku.

  2. Jika permintaan klien menyediakan ekstensi SNI dalam ClientHello pesan, CloudFront cari distribusi yang terkait dengan SNI tersebut.

    • Jika ada kecocokan, CloudFront tanggapi permintaan dengan sertifikat SSL/TLS.

    • Jika tidak ada kecocokan, CloudFront gunakan alamat IP sebagai gantinya untuk mengidentifikasi distribusi Anda dan untuk menentukan sertifikat SSL/TLS mana yang akan dikembalikan ke penampil.

  3. Penampil dan CloudFront melakukan negosiasi SSL/TLS menggunakan sertifikat SSL/TLS Anda.

  4. CloudFront mengembalikan konten yang diminta ke pemirsa.

Metode ini berfungsi untuk setiap permintaan HTTPS, terlepas dari browser atau penampil lain yang digunakan pengguna.

catatan

IP khusus bukan IP statis dan dapat berubah seiring waktu. Alamat IP yang dikembalikan untuk lokasi tepi dialokasikan secara dinamis dari rentang alamat IP dari daftar server CloudFront tepi.

Rentang alamat IP untuk server CloudFront tepi dapat berubah. Untuk diberitahu tentang perubahan alamat IP, berlangganan Perubahan Alamat IP AWS Publik melalui Amazon SNS.

Meminta izin untuk menggunakan tiga atau lebih sertifikat IP SSL/TLS khusus

Jika Anda memerlukan izin untuk secara permanen mengaitkan tiga atau lebih sertifikat IP khusus SSL/TLS dengan CloudFront, lakukan prosedur berikut. Untuk detail lebih lanjut tentang permintaan HTTPS, lihat Pilih cara CloudFront melayani permintaan HTTPS.

catatan

Prosedur ini untuk menggunakan tiga atau lebih sertifikat IP khusus di seluruh CloudFront distribusi Anda. Nilai default-nya adalah 2. Harap diingat bahwa Anda tidak dapat mengikat lebih dari satu sertifikat SSL ke distribusi.

Anda hanya dapat mengaitkan satu sertifikat SSL/TLS ke CloudFront distribusi pada satu waktu. Jumlah ini untuk jumlah total sertifikat SSL IP khusus yang dapat Anda gunakan di semua CloudFront distribusi Anda.

Untuk meminta izin untuk menggunakan tiga atau lebih sertifikat dengan CloudFront distribusi

  1. Buka Pusat Dukungan dan membuat kasus.

  2. Sebutkan berapa banyak sertifikat yang Anda perlukan izin penggunaannya, dan jelaskan keadaan di dalam permintaan Anda. Kami akan memperbarui akun Anda sesegera mungkin.

  3. Lanjutkan dengan prosedur berikutnya.